[pyar] CSRF y fFlask

Federico Apelhanz elmaildejapel en gmail.com
Vie Abr 13 10:51:52 -03 2018


csrf es una forma de protejerte vos contra posibles ataques, sirve para
asegurarte que el post
 que te llega es de un formulario que efectivamente serviste desde tu app.
Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes un
cliente logeado, tranquilamente alquien puede pasarle un pagina con codigo
js malicioso que haga un post contra tu servidor y le haga comprar 10000000
cosas, tu app chequea que esta logeado y listo, lo da como valido porque no
chequea más nada. Sobre si tenes que implementarlo vos para una lan, lo
recomendable es que si, porque seguis siendo vulnerable.

El 13 de abril de 2018, 10:36, Luis Andraschnik <luis.andraschnik en gmail.com>
escribió:

> Lo que no me queda claro es quien es el que implementa la protección de
> los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
> sería un posible objetivo de ataque, la protección la debe implementar
> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
> dónde está , es una tercer página web?
>
> En definitiva yo tengo que implementar sí o sí protección CSRF en mi app
> flask esté corriendo mi servidor en una LAN como en internet?
>
> Tengo una ensalada ...
>
> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
> escribió:
>
>>
>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>:
>>
>>> Buen día grupo!
>>>
>>> Aún no entiendo bien cuales son los actores ni como funciona un ataque
>>> CSRF, pero quería saber si yo estoy haciendo una app Flask en red local ,
>>> tengo que habilitar protección CSRF en los formularios?
>>> Gracias!
>>> Luis
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>
>>
>> Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta
>> al servidor al recibir comandos que el usuario no deseaba incluir en las
>> acciones del usuario. De tal forma que cuando un usuario se autentica usa
>> las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>> donde "recuperr una clave".
>>
>> Es importante entender dos cosas: 1) Como es el usuario el que "realiza"
>> la operación, el server confía en ese usuario para esa operación porque es
>> una operación que puede realizar ese usuario. 2) el atacante no recibe el
>> feedback, porque es el usuario el que realiza la accion y recibe la
>> respuesta. Es por esto que los ataques son apuntados a cambios de estado
>> para luego explotar esos cambios introducidos.
>>
>> Gedece
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/f0e2bce6/attachment.html>


Más información sobre la lista de distribución pyar